Les systèmes cyber-physiques sont en quelques sortes l’évolution des systèmes embarqués (micro-ordinateurs puissants et autonomes), et s’apprêtent à dominer l’industrie 4.0 (issue de la quatrième révolution industrielle) dans laquelle le monde virtuel converge avec les produits et objets du monde réel. Le partie cyber fait référence à la puissance numérique des systèmes, et la partie physique à leur emprise sur le monde réel.
Plus d’un mot clé peut être utilisé pour caractériser les systèmes cyber-physiques : procédé, technologie, connexion, interfaces, communication, cloud, algorithme, conception, interopérabilité, big data, etc.
Un système cyber-physique peut être considéré aussi bien à une petite échelle (e.g. pace maker) qu’à de grandes échelles (un réseau national de distribution d’énergie) (voir les excellentes études « Les systèmes cyber-physiques de production » d’Olivier Cardin – IRCCyN, Nantes et de Damien Trentesaux – LAMIH, Valenciennes et « Contribution à la conception, l’évaluation et l’implémentation de systèmes de production cyber-physiques » d’Olivier Cardin [1] ).
Ces études présentent également les différents niveaux de classification des systèmes cyber-physique [2], qui permettent d’appréhender leur champ d’application extrêmement étendu, comme suit :
- C1. le niveau Connexion: le système cyber-physique opère sur un réseau Plug&Play (technologie permettant de reconnaitre rapidement et automatiquement les périphériques compatibles dès le branchement) et utilise des données envoyées par un réseau de capteurs ;
- C2. le niveau Conversion, le système cyber-physique sait traiter l’information et la retranscrire en informations de plus haut niveau ;
- C3. le niveau Cyber, le système cyber-physique a une connaissance des autres système cyber-physique de l’environnement et peut interagir avec eux pour enrichir son propre traitement d’information ;
- C4. le niveau Cognition, le système cyber-physique est capable d’établir un diagnostic basé sur des simulations de son propre comportement et une analyse différentielle des données de capteurs ;
- C5. le niveau Configuration, le système cyber-physique peut s’adapter seul en cas de défaillance, se reconfigurer ou ajuster de manière autonome ses paramètres afin de retourner à un comportement nominal.
Ces systèmes sont à la base des innovations « connectées » dans les secteurs des technologies de l’information et de l’Internet des objets (IoT ou Internet of Things) (voir l’article publié par Gartner le 1er septembre 2020). A titre d’illustration, Gartner cite notamment les infrastructures essentielles qui requièrent des investissements importants à l’entrée (aéroport, train, énergie, etc.) ainsi que le milieu hospitalier ou clinique. Il convient de noter qu’aux USA comme en France (notamment le dispositif interministériel de Sécurité des Activités d’Importance Vitale (SAIV) inscrit dans le code de la défense et le travail de l’ANSSI sur la cybersécurité des Opérateurs d’Importance Vitale (ou OIV)), les structures étatiques imposent de plus en plus aux opérateurs de systèmes critiques de renforcer la sécurité des systèmes d’information qu’ils exploitent.
Ces opérateurs ne peuvent plus prétendre ne pas avoir été avertis. Or, les analystes de Gartner prévoient que les incidents sur les systèmes cyber-physiques vont rapidement augmenter dans les années à venir en raison du manque d’attention consacré à la sécurité de ces systèmes.
Par ailleurs, en raison de la nature des systèmes cyber-physiques (incidence sur le cyberespace et le monde physique, et interconnexion à très grande échelle), des incidents sur ces systèmes pourraient entraîner des dommages physiques aux personnes, la destruction de biens ou des catastrophes environnementales. Ainsi, avec le développement des bâtiments intelligents, des villes intelligentes, des voitures connectées et des véhicules autonomes, les incidents dans le monde numérique auront un effet beaucoup plus important que dans le monde physique (par exemple : une intrusion dans un système d’information permettant la captation et la modification de données influant sur le comportement d’un robot intervenant dans la chaîne de production d’une usine, le piratage de voitures autonomes les transformant en voitures tueuses, etc.).
Or, de nombreuses entreprises ne sont pas conscientes que des systèmes cyber-physiques sont déjà à l’œuvre chez elles, que ces systèmes résultent de la connexion du réseau d’entreprise à des systèmes existants par des équipes extérieures au service informatique ou des efforts d’automatisation et de modernisation menés par les entreprises dont les incidences et risques n’ont pas été examinés attentivement.
Pour Gartner, les actions en responsabilité pour incidents de sécurité cyber-physiques, notamment en raison de leurs effets considérables et inévitables dans le monde physique, feront tomber la barrière de la personnalité morale de la société (« to pierce the corporate veil » en anglais) et entraineront la responsabilité personnelle des dirigeants.
*
* *
Dans ce contexte, il est pertinent de rappeler les conditions de mise en cause de la responsabilité personnelle pénale d’un dirigeant en application du droit français.
La responsabilité pénale du dirigeant peut être engagée par le seul fait d’enfreindre un texte pénal. En effet, l’article 121-2 du Code pénal prévoit explicitement que la responsabilité pénale de la personne morale n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits.
La responsabilité pénale d’un dirigeant peut ainsi être engagée pour une variété d’infractions pénales, notamment : la fraude fiscale (article L267 du Livre des procédures fiscales), le faux et usage de faux (article 441-1 du Code pénal) mais aussi le manquement à une obligation de prudence ou de sécurité (articles L4121-1 et L4121-2 du Code du travail et article 121-3 al 3 et 4 du Code pénal).
Ainsi, en application de cet article 121-3, alinéa 4, du Code pénal, le dirigeant engage sa responsabilité pénale personnelle s’il peut être établi à son encontre l’existence d’une “faute qualifiée” consistant :
- soit en la violation manifestement délibérée d’une obligation particulière de prudence ou de sécurité prévue par la loi ou un règlement: ainsi, la Chambre criminelle de la Cour de cassation a notamment estimé que constitue une violation manifestement délibérée d’une obligation particulière de sécurité ou de prudence la décision prise, en connaissance de cause, par le chef d’entreprise de ne pas mettre en place le blindage d’une tranchée imposé par l’article 72 du décret du 8 janvier 1965 ( 12 sept. 2000, Bull. n 268), ou encore la décision du responsable du service technique d’une commune de faire procéder au montage d’un portique sans prévoir l’installation de dispositifs de protection contre les chutes (Crim. 3 déc. 2002, Bull. n 219).,
- soit en une faute caractérisée et qui exposait autrui à un risque d’une particulière gravité qu’il ne pouvait ignorer: la Chambre criminelle de la Cour de cassation a notamment estimé, dans une affaire d’accident d’avion, que le non-respect d’un arrêté qui n’était pas en vigueur en Polynésie française à la date des faits mais était néanmoins appliqué par les services locaux de l’aviation civile et les entreprises de transports aériens, constituait une faute caractérisée (Crim, 15 oct. 2002, Bull. n° 186.)
Il apparait ainsi que les incidents de sécurité cyber-physiques, notamment en raison de leurs effets considérables dans le monde physique (dommages aux salariés mais aussi, de plus en plus, dommages aux tiers), pourront faire tomber la barrière de la personnalité morale de la société et entraîner la responsabilité personnelle civile mais aussi pénale des dirigeants.
Ainsi, le refus par un dirigeant de mettre en place les mesures de sécurités nécessaires, matérialisé par exemple par la décision de ne pas suivre les consignes et recommandations des autorités compétentes en la matière (ex : mesures techniques limitant les accès extérieurs aux systèmes d’information, etc.), de sorte à exposer des salariés ou des tiers à un risque d’une particulière gravité (ex : accident grave, décès) pourrait entrainer la responsabilité pénale du dirigeant pour faute caractérisée.
*
* *
Le pôle IT, Cybercriminalité & Télécoms d’Agil’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise et/ou du maintien en conformité de vos projets technologiques et informatiques, et pour toute question que vous pourriez avoir à ce sujet.
[1] Olivier Cardin. Contribution à la conception, l’évaluation et l’implémentation de systèmes de production cyber-physiques. Automatique / Robotique. Université de Nantes, 2016.
[2] Lee, J., Bagheri, B., Kao, H.-A., 2015. A Cyber-Physical Systems architecture for Industry 4.0-based manufacturing systems. Manufacturing Letters 3, 18–23. doi:10.1016/j.mfglet.2014.12.001
Par AGIL’IT – Pôle IT, Télécoms & Data protection
Sylvie JONAS, Avocate associée
Morgane BOURMAULT, Avocate